تیم تحقیقاتی تهدید Socket هشتم نوامبر ۲۰۲۴، پکیجهای npm مخربی را شناسایی کرده است که به طور خاص کاربران Roblox را هدف قرار میدهند. این پکیجها برای جعل هویت ماژولهای قانونی که به طور گسترده در جامعه توسعه دهندگان Roblox استفاده میشوند، طراحی شدهاند.
Roblox، یک پلتفرم آنلاین و سیستم ساخت بازی است که دارای ۷۹.۵ میلیون کاربر فعال روزانه میباشد و دارای ۲.۵ میلیون توسعه دهنده است. محبوبیت این پلتفرم، آن را به یک هدف پرسود برای هکرهایی تبدیل کرده است که به دنبال سرقت اطلاعات حساس یا دسترسی غیرمجاز به حسابهای کاربری هستند.
مهاجم، پکیجهای تایپسکوات شده را با هدف فریب توسعه دهندگان به منظور نصب بدافزار Skuld infostealer و Blank Grabber منتشر کرده است. Typosquatting نوعی حمله مهندسی اجتماعی است که به اشتباهاتی مانند اشتباهات تایپی توسط کاربران اینترنت هنگام وارد کردن آدرس وب سایت در مرورگر وب متکی است.
این پکیجها تا پیش از آنکه حذف شوند دارای بیش از 320 دانلود بودند و خطرات قابل توجهی از جمله سرقت دادههای لاگین (نام کاربری و پسورد)، اطلاعات مالی و دادههای شخصی را به همراه داشتند.
لیست پکیجهای مخرب به شرح زیر است:
- node-dlls (۷۷ دانلود)
- ro.dll (۷۴ دانلود)
- autoadv (۶۶ دانلود)
- rolimons-api (۱۰۷ دانلود)
شایان ذکر است که “node-dlls” اقدامی از سوی هکرها به عنوان یک تایپسکوات برای پکیج قانونی node-dll است. node-dll قانونی دارای ۳۵,۸۰۰ دانلود میباشد و توسعه دهندگان Roblox از آن استفاده میکنند تا مستقیماً از محیط Node.js با کتابخانههای پیوند پویای ویندوز (DLL) تعامل داشته باشند و ادغامها و ویژگیهای پیشرفته را فعال نمایند.
پکیجهای مخرب و آلوده شامل کد مبهم هستند که Skuld infostealer و Blank Grabber، خانوادههای بدافزار رباینده اطلاعات را که به ترتیب در Golang و Python نوشته شدهاند، دانلود و اجرا میکنند و میتوانند طیف وسیعی از اطلاعات را از سیستمهای آلوده جمعآوری کنند.
Skuld infostealer که در Go نوشته شده است، برای استخراج دادههای حساس از سیستمهای ویندوز، نفوذ به برنامههایی مانند Discord، کرومیوم و مرورگرهای مبتنی بر فایرفاکس و کیف پولهای ارزهای دیجیتال طراحی شده است.
Skuld از تکنیکهایی برای دور زدن دیباگ، غیرفعال سازی محافظتهای آنتیویروس و افزایش سطح دسترسی استفاده میکند و دادههای لاگین، کوکیها و اطلاعات مالی را میرباید.
Blank Grabber، یک بدافزار مبتنی بر پایتون است که اطلاعات حساس را از سیستمهای ویندوز آلوده سرقت میکند. Blank Grabber با داشتن یک اینترفیس کاربری گرافیکی کاربر پسند، به هکرها اجازه میدهد تا رفتار بدافزار را سفارشی سازی (مانند غیرفعال سازی ویندوز دیفندر یا دور زدن کنترل حساب کاربری (UAC)) کنند.
این بدافزار قادر به استخراج دادههایی مانند توکنهای Discord، رمزهای عبور مرورگر، کوکیها، جزئیات کیف پول ارز دیجیتال و همچنین گرفتن اسکرین شات و تصاویر وبکم است. داده های جمعآوری شده سپس از طریق وب هوک Discord یا تلگرام به مهاجم ارسال میشوند. استفاده از Discord و تلگرام برای ارتباطات C2 میتواند تلاشی به منظور پیچیدهتر کردن فرآیند شناسایی باشد.
باینریهای بدافزار به منظور دور زدن حفاظتهای امنیتی دستگاه قربانی، از یک مخزن GitHub (“github[.]com/zvydev/code/”) که توسط مهاجم کنترل میشود، بازیابی میشوند.
تیم تحقیقاتی Socket، ششم نوامبر نیز یک پکیج مخرب پایتون به نام ” fabrice ” را کشف کردند که یک نوعِ تایپسکوات شده از کتابخانه محبوب اتوماسیون fabric SSH است. Fabric یک کتابخانه سطح بالای پایتون است که برای اجرای دستورات shell از راه دور بر روی SSH طراحی شده است.
پکیج تایپسکوات شده fabric (یعنی fabrice ) دارای پیلودهایی است که دادههای لاگین را ربوده و بکدورهایی را مستقر و اسکریپتهای خاص هر پلتفرم را اجرا میکند. پکیج Fabrice طوری طراحی شده است که اقدامات مخرب خود را بر اساس سیستم عاملی که روی آن نصب شده است انجام میدهد.
این اولین بار نیست که کاربران و توسعه دهندگان Roblox مورد هدف قرار میگیرند. محققان Socket در اوایل سال جاری نیز، گزارشی را منتشر کردند که شامل یک پکیج مخرب تایپسکوات شده از پکیجهای noblox.js و noblox.js-server بود.
ماهیت تکرار شونده این حملات نشان دهنده یک چشمانداز تهدید مداوم است که هکرها به طور خستگی ناپذیر به دنبال سوء استفاده از پکیجهای npm و نفوذ به توسعه دهندگان میباشند!
